Spring4Shell: Kritische Schwachstelle im Java-Framework Spring

Spring4Shell: Kritische Schwachstelle im Java-Framework Spring

Beitrag teilen

Forscher haben im beliebten Java-Framework Spring die kritische Schwachstelle Spring4Shell entdeckt. Kaspersky-Experten erklären, wie sie funktioniert, warum sie so gefährlich ist und wie Sie sich schützen. Und: dass das Ganze nichts mit Log4Shell bzw. Log4j zu tun hat.

Forscher haben eine kritische Schwachstelle (CVE-2022-22965) im Open-Source-Framework der Java-Plattform „Spring“ entdeckt. Details über die Sicherheitslücke sickerten bereits an die Öffentlichkeit durch, bevor die offizielle Ankündigung und im selben Zuge die entsprechenden Patches veröffentlicht wurden.

Die Sicherheitslücke zog sofort die Aufmerksamkeit von Spezialisten für Informationssicherheit auf sich, da sie potenziell eine ernsthafte Bedrohung für viele Webanwendungen darstellt. In Anlehnung an die gehypte Zero-Day-Lücke Log4Shell wurde die neu entdeckte Schwachstelle Spring4Shell genannt.

Spring4Shell-Patches bereits im Umlauf

Die Entwickler des VMware-Spring-Frameworks haben bereits Patches für anfällige Anwendungen veröffentlicht. Allen Unternehmen, die die Spring-Framework-Versionen 5.3 und 5.2 verwenden, empfehlen wir deshalb, umgehend auf die Versionen 5.3.18 oder 5.2.20 zu aktualisieren.

Was ist Spring4Shell & warum ist die Schwachstelle so gefährlich?

Die Schwachstelle gehört zur Kategorie „RCE“ (Remote Code Execution) und ermöglicht Angreifern die Remote-Ausführung von Schadcode. Dem Bewertungssystem CVSS v3.0 zufolge liegt der Schweregrad der Sicherheitslücke derzeit bei 9,8/10 und betrifft Spring MVC- und Spring WebFlux-Anwendungen, die unter Java Development Kit Version 9 oder höher ausgeführt werden.

Forscher meldeten VMware die entdeckte Schwachstelle in der Nacht zum Dienstag, doch bereits am Mittwoch wurde auf GitHub ein Proof-of-Concept für die Schwachstelle veröffentlicht. Zwar wurde der PoC schnell entfernt, jedoch erst, als Sicherheitsexperten darauf aufmerksam wurden. Es ist mehr als unwahrscheinlich, dass ein Exploit mit diesem Kaliber von Cyberkriminellen unbemerkt geblieben ist.

Spring-Framework beliebt bei Entwicklern

Das Spring-Framework ist bei Java-Entwicklern sehr beliebt, was bedeutet, dass potenziell viele Anwendungen von der Schwachstelle betroffen sein könnten. Laut einem Beitrag von Bleeping Computer könnten Spring4Shell-anfällige Java-Anwendungen zur Kompromittierungsursache für eine Vielzahl von Servern werden. Demselben Beitrag zufolge wird die Schwachstelle bereits aktiv von Cyberkriminellen ausgenutzt.

Weitere technische Details sowie Kompromittierungsindikatoren für die Spring4Shell-Exploits können Sie in unserem Blogbeitrag auf Securelist nachlesen. Im selben Beitrag finden Sie ebenfalls Details zu einer weiteren kritischen Schwachstelle im Spring-Java-Framework (CVE-2022-22963).

Exploit der Schwachstelle Spring4Shell

Die einzige zum Zeitpunkt der Veröffentlichung bekannte Spring4Shell-Exploit-Methode erfordert ein Zusammenspiel verschiedener Faktoren. Für einen erfolgreichen Exploit müssten die folgenden Komponenten auf der angegriffenen Seite verwendet werden:

  • Java Development Kit Version 9 oder neuer;
  • Apache Tomcat als Servlet-Container;
  • Dateiformat WAR (Web Application Resource) anstelle des standardmäßigen JAR;
  • spring-webmvc- oder spring-webflux-Abhängigkeiten (Dependencies);
  • Spring Framework-Versionen 5.3.0 bis 5.3.17, 5.2.0 bis 5.2.19, oder älter.

Es ist jedoch durchaus möglich, dass es noch weitere bislang unbekannte Exploit-Möglichkeiten gibt und die Schwachstelle auf andere Weise ausgenutzt werden kann.

So schützen Sie sich vor Spring4Shell

  • Der wichtigste Ratschlag für alle, die das Spring-Framework verwenden, ist ein Upgrade auf die sicheren Versionen 5.3.18 oder 5.2.20.
  • Die Apache Software Foundation hat zudem gepatchte Versionen von Apache Tomcat 10.0.20, 9.0.62 und 8.5.78 veröffentlicht.
  • Auch die Entwickler von Spring haben gepatchte Versionen der Spring Boot 2.5.12– und 2.6.6-Erweiterungen veröffentlicht, die von der gepatchten Spring-Framework-Version 5.3.18 abhängen.

Wenn Sie die oben genannte Software aus irgendeinem Grund nicht aktualisieren können, sollten Sie der Problemlösung auf der offiziellen Spring-Website folgen.

Um das Risiko eines erfolgreichen Angriffs zu minimieren, empfehlen wir Ihnen, alle Server sowie alle anderen Computer, die mit dem Internet verbunden sind, mit einer vertrauenswürdigen Sicherheitslösung zu schützen. Sollten Sie bereits eine Sicherheitslösung von Kaspersky verwenden, stellen Sie sicher, dass die Module Advanced Exploit Prevention und Network Attack Blocker aktiviert sind.

Mehr bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

WinDealer-Malware verbreitet sich über Man-on-the-Side-Angriffe

Kaspersky-Forscher haben entdeckt, dass die Malware WinDealer vom chinesischsprachigen APT-Akteur LuoYu über Man-on-the-Side-Angriffe verbreitet wird [1]. Diese Verbreitungsmechanik ermöglicht es ➡ Weiterlesen

BSI: Follina-Schwachstelle mit erhöhter Warnstufe

Bereits vor Wochen sorgte der neue Zero-Day-Bug Follina bei der Remote-Code-Ausführung in Microsoft Office für Wirbel. Genauer gesagt handelt es ➡ Weiterlesen

Work-from-Anywhere-Modells birgt erhöhtes Cyber-Risiko-Potential

Absolute Software veröffentlicht Ergebnisse aus aktueller IT-Sicherheitsstudie: Zunehmende Gerätemobilität zusammen mit der Anfälligkeit von Sicherheitskontrollen unterstreicht den Bedarf an robusten Endpoint- ➡ Weiterlesen

Sicherheitsrisiken in Microsoft 365 reduzieren

Einführung von „Vectra Protect“ hilft Unternehmen Sicherheitsrisiken in Microsoft 365 zu reduzieren. Zusätzlich bietet Vectra den Unternehmen eine kostenlose Sicherheitsanalyse durch ➡ Weiterlesen

Cyber-Attacken auf Industrie kosten Unternehmen Millionen

Eine Studie von Trend Micro untersucht Auswirkungen von Cyber-Attacken auf industrielle Systeme. Für deutsche Unternehmen, deren OT und Steuerungssysteme von ➡ Weiterlesen

Fehlende Fachkräfte gefährden die Cyber-Sicherheit

Trellix-Umfrage: Fehlende Fachkräfte gefährden laut einer aktuellen Studie in 85 % aller Unternehmen die Cyber-Sicherheit. Globale Befragung von Cybersecurity-Profis zeigt Auswege ➡ Weiterlesen

Gestohlene Anmeldeinformationen sind das größte Sicherheitsrisiko

Der Verizon Data Breach Investigations Report 2022 (DBIR) hat 23.896 Sicherheitsvorfälle und 5.212 bestätigte Datenschutzverletzungen untersucht. Dabei kommt er zu ➡ Weiterlesen

IoT-Sicherheitsreport 2022: Industrielle Steuerungen in Gefahr

IT-Experten fordern im IoT-Sicherheitsreport 2022 eine Bill of Materials (SBOM) für Gerätesoftware: Industrielle Steuerungen, Produktion und das Smart Home sind ➡ Weiterlesen